AsyncRAT恶意软件活动发现针对南美酒店

安全研究人员发现威胁组织TA558发起的新AsyncRAT恶意软件活动，目标指向南美洲酒店业，这需要引起旅行者和网络安全专业人士的关注。

该活动采用了AsyncRAT的新变种，这是一个主要作为凭证窃取器和其他恶意软件加载器的开源远程访问木马(RAT)。这个最新的恶意软件用例说明了网络犯罪分子如何采用新技术入侵计算机系统并窃取敏感数据。

发现与分析过程

安全研究人员在分析一个简单的恶意软件样本时发现了这个新的AsyncRAT变种——一个看似恶意的JavaScript(JS)文件及其感染链。对样本的进一步调查显示，该恶意软件是一个恶意PowerShell脚本的下载器，该脚本被伪装成PDF文件，托管在受入侵的网页域上。“PDF"释放了两个文件：一个是辅助动态链接库(DLL)，另一个是AsyncRAT。

与威胁行为者通常分发AsyncRAT的方式一致，攻击者通常通过网络钓鱼邮件传递此恶意软件变种，邮件可能包含从S3存储桶下载ZIP文件的超链接。有趣的是，研究表明托管ZIP文件的URL以Google查询结尾。这可能是为了在下载文件后将用户重定向到Google，使其看起来没有发生异常情况。这也可以欺骗那些将带有受信任域的URL分开的网络过滤器。

对恶意软件文件的进一步检查显示了"PDF"在恶意软件感染链中的运作方式。伪装成PDF的恶意PowerShell脚本包含两个二进制文件、轻微混淆和算法位操作。额外分析确认该恶意软件是一个投放器。危害指标中包括与南美国家（特别是巴西和智利）酒店相关的网页域和URL。

与已知威胁组织的关联

更广泛的研究表明，此AsyncRAT恶意软件活动与威胁组织TA558相关。该组织被认为从巴西运作，有劫持域和使用受信任的内容分发网络(CDN)来分发加载器和投放器的历史。电子邮件钓鱼似乎是该组织偏好的攻击向量。该组织历史上曾使用多种RAT，最近则偏爱AsyncRAT。

在此恶意软件用例中，威胁行为者混淆其下载器和投放器的方法并不新颖。他们使用绕过基本过滤器的文件操作，但一旦攻击执行，它们往往很"嘈杂”。威胁行为者在第一阶段下载中使用"Google.com"查询，利用受入侵的域，以及将PDF伪装成投放器，都是试图降低噪音。

如何应对最新的AsyncRAT活动

AsyncRAT恶意软件的一个显著特征是使用加密和混淆方法来避免检测，这个最新活动也采用了这些方法。因此，组织采用深度防御方法来抵御此恶意软件威胁非常重要。

组织必须进行用户意识培训以对抗网络钓鱼和鱼叉式网络钓鱼攻击。游戏化方法可以使安全培训更有效，并帮助最终用户记住教训。一如既往，安全培训应强调从未知来源下载文档或电子邮件附件的风险。此外，组织必须利用高级端点检测和响应解决方案，这些解决方案可以快速响应以停止恶意攻击的执行。

IT和安全团队定期更新软件和安装安全补丁、使用强访问控制和密码，以及例行备份数据也至关重要。如果AsyncRAT攻击突破了初始防御，遏制就很重要。如果系统或设备被感染，应将其与网络其余部分隔离，并确保威胁被控制。

虽然这个最新AsyncRAT恶意软件活动中使用的方法并不新颖，但它们已被证明是有效的，这就是威胁行为者继续使用它们的原因。预防AsyncRAT恶意软件攻击的最有效方法是培训用户对来自未知发件人的电子邮件持怀疑态度，并且除非用户确定发件人及其内容，否则绝不打开来自外部实体的奇怪电子邮件附件。即使是最有教育背景的人也可能成为电子邮件钓鱼策略的受害者，这强调了拥有多层安全态势的重要性。